Plataforma
wordpress
Componente
wp-google-map-plugin
Corregido en
4.8.7
La vulnerabilidad CVE-2025-12062 afecta al plugin WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters para WordPress. Esta vulnerabilidad de Inclusión de Archivos Locales (LFI) permite a atacantes autenticados, con privilegios de Suscriptor o superiores, incluir y ejecutar archivos .html arbitrarios en el servidor. Las versiones afectadas son desde la 0.0.0 hasta la 4.8.6. La solución es actualizar el plugin a la versión 4.8.7.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a archivos sensibles en el servidor WordPress. Al incluir y ejecutar archivos .html arbitrarios, el atacante podría inyectar código PHP malicioso, lo que permitiría la ejecución remota de código (RCE). Esto podría resultar en la toma de control completa del sitio web, robo de datos confidenciales (como credenciales de usuario, información de clientes o datos de la base de datos), o la modificación del contenido del sitio. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la instalación de puertas traseras, el envío de spam, o el uso del servidor como plataforma de lanzamiento para ataques a otros sistemas.
Actualmente, no se ha confirmado la explotación activa de CVE-2025-12062 en entornos reales. La vulnerabilidad ha sido publicada en el NVD el 2026-02-16. La complejidad de la explotación requiere un atacante autenticado con privilegios de Suscriptor o superiores, lo que podría limitar su alcance. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-12062 es actualizar el plugin WP Maps a la versión 4.8.7 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede restringir el acceso a la función fcloadtemplate a través de reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes que intenten incluir archivos no autorizados. Monitorear los logs del servidor en busca de intentos de inclusión de archivos sospechosos también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 4.8.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12062 is a Local File Inclusion vulnerability in the WP Maps plugin for WordPress, allowing authenticated attackers to include and execute arbitrary HTML files.
You are affected if you are using WP Maps plugin versions 0.0.0 through 4.8.6. Upgrade to 4.8.7 or later to mitigate the risk.
Upgrade the WP Maps plugin to version 4.8.7 or later. If immediate upgrade is not possible, restrict file upload permissions and implement strict input validation.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation increases the risk of opportunistic attacks.
Refer to the official WP Maps plugin website or WordPress security announcements for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.